Podkast 24T25 Niska Wydajność WireGuard Site-to-Site

Więcej miejsc do posłuchania:

Spotify

W dzisiejszych czasach bezpieczeństwo i wydajność połączeń VPN są kluczowymi aspektami dla wielu firm. W jednym z ostatnich odcinków mojego podcastu omówiłem temat wydajności połączeń WireGuard Site-to-Site, odpowiadając na pytanie zadane pod jednym z naszych artykułów. W tym artykule przyjrzę się głównym zagadnieniom poruszonym w podcaście oraz zaproponuję kilka praktycznych rozwiązań.

Wydajność Połączeń WireGuard Site-to-Site

Problem z Wydajnością

Podstawowy problem, na który zwróciłem uwagę, dotyczy spadku wydajności połączeń, szczególnie przy transferach plików za pomocą FTP czy Samby. Chociaż testy typu iperf czy bandwidth wykazują przepustowość na poziomie 1 Gb, rzeczywista wydajność połączenia degraduje się do 300 Mb przy przesyłaniu danych.

Przyczyna Problemu: MTU

Główną przyczyną spadku wydajności jest MTU (Maximum Transmission Unit), czyli maksymalna wielkość pakietu, jaki może być przesłany przez dane połączenie. Jeśli router odbiera pakiet, który jest większy niż dopuszczalna wielkość na danym interfejsie (np. 1500 bajtów), musi go podzielić (fragmentacja). To dodatkowo obciąża procesor routera i prowadzi do spadku wydajności.

Rozwiązania Optymalizujące Wydajność

Konfiguracja MTU

Aby zminimalizować problem fragmentacji, należy odpowiednio skonfigurować MTU. Najlepiej jest to zrobić na urządzeniach końcowych, takich jak laptopy czy serwery, aby uniknąć nadmiernego obciążenia routerów.

  1. Sprawdzenie Maksymalnego MTU:
    • Użyj dostępnych w sieci kalkulatorów MTU, które pozwolą określić odpowiednią wielkość pakietów, biorąc pod uwagę nagłówki tuneli VPN.
  2. Konfiguracja na Urządzeniach Końcowych:
    • Jeśli masz możliwość konfiguracji MTU na urządzeniach końcowych, dostosuj je do maksymalnej możliwej wielkości, aby uniknąć fragmentacji.

Wsparcie dla Jumbo Frames

Kolejnym krokiem jest sprawdzenie, czy Twoje połączenie internetowe oraz operator wspierają Jumbo Frames. Jumbo Frames to pakiety danych większe niż standardowe 1500 bajtów, co pozwala na przesyłanie większych jednostek bez konieczności fragmentacji.

  1. Konfiguracja Routerów:
    • Jeśli operator wspiera Jumbo Frames, skonfiguruj routery po obu stronach połączenia Site-to-Site, aby obsługiwały większe pakiety (np. 9000 bajtów).

Alternatywne Metody

Jeżeli powyższe rozwiązania nie są możliwe do wdrożenia, istnieją inne metody, które mogą pomóc w optymalizacji wydajności:

  1. Ograniczenie MTU na Routerach:
    • Ogranicz MTU na interfejsie routera, aby zminimalizować fragmentację i zmniejszyć obciążenie procesora.
  2. Dystybucja Obciążenia:
    • Jeśli masz więcej routerów po drodze, skonfiguruj fragmentację pakietów na wcześniejszych etapach, aby rozłożyć obciążenie równomiernie.
  3. Konfiguracja Serwerów:
    • Na serwerach FTP lub Samby skonfiguruj maksymalne MTU na interfejsach sieciowych, aby poprawić wydajność przynajmniej w jedną stronę.

Podsumowanie

Optymalizacja wydajności połączeń WireGuard Site-to-Site jest kluczowa dla utrzymania płynności i efektywności sieci. Poprawna konfiguracja MTU, wsparcie dla Jumbo Frames oraz inne metody mogą znacząco wpłynąć na wydajność połączeń. Jeśli masz dodatkowe pytania lub sugestie, podziel się nimi w komentarzach!


Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.